Обзор вирусной обстановки за октябрь 2007 года от компании «Доктор Веб»
1.11.2007
Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в октябре 2007 года.
Продолжающаяся уже достаточно длительное время спам-рассылка Storm Worm постепенно идёт на убыль. Тем не менее, говорить о полном прекращении рассылки пока рано. В письмах пользователям предлагается скачать открытку. При переходе по предложенной ссылке открывается веб-страница, выполненная в мультипликационном стиле. В коде страницы размещён загрузочный скрипт, определяемый антивирусом Dr.Web как VBS.Psyme.438. В результате выполнения скрипта происходит несанкционированная установка исполняемого файла. Механизм дальнейшей работы остался без изменений – превращение инфицированного компьютера в участника P2P-сети с последующей рассылкой спама. Помимо этого, с помощью инфицированных компьютеров осуществлялись DDoS-атаки на различные антиспам-порталы, а также сайты, распространяющие Win32.HLLM.Limar.
Ослабление Storm Worm привело к тому, что авторы Win32.HLLM.Limar вновь «подняли голову» - в начале 20х чисел была зафиксирована рассылка писем, содержащих во вложении загрузчик, устанавливающий основные модули Win32.HLLM.Limar на инфицированный компьютер. В процессе своей работы Win32.HLLM.Limar осуществляет временную подмену стандартного Windows Messenger для осуществления рассылки своих сообщений с ссылками на загрузку своей копии по IM.
В этом месяце было зафиксировано также появление двух вредоносных программ для распространения по системе VoIP Skype – Win32.HLLW.Pykse и Trojan.PWS.Skyper. Их появление символизирует, что в обозримом будущем число вредоносных программ, распространяющихся по Skype, может возрасти. Напомним, что этим летом была зафиксировано распространение по Skype другой вредоносной программы - Win32.HLLW.Crazy.
Нельзя не отметить также появление вредоносного документа PDF, использующий уязвимости в программном обеспечении Adobe Systems Reader и Acrobat. Наверняка многие помнят волну спам-рассылки с сообщениями в формате PDF. Первичная волна не несла в себе PDF-файлов, несущих в себе каких-либо деструктивных функций. Нынешняя волна показала, что PDF-файлы могут представлять реальную угрозу для компьютера пользователя. Детектирование подобных PDF-файлов включено в базы Dr.Web - Exploit.PDFUri.
Итоги спам-активности в октябре 2007 года
Главным событием этого месяца стала апробация спаммерами нового метода для обхода антиспам фильтров – применение вложений в виде звукового файла в формате mp3. Однако, в виду низкого качества воспроизводимого сообщения данная рассылка представила собой эпизодический случай и была быстро прекращена.
В этом месяце отмечался рост присутствия «коммерческого спама» с предложениями по безнес-тематике, а также «культурного спама» с предложениями посетить различного рода театральные премьеры, выставочные залы и.т.д.
В октябре 2007 года вирусная база Dr.Web пополнилась 9855 записями.
Краткая таблица результатов онлайн-проверки за месяц:
Наименование вируса | Количество |
---|---|
VBS.Psyme.239 | 2142 |
Worm.Sifiliz | 599 |
Trojan.SCKeyLog.20 | 423 |
VBS.PackFor | 214 |
Trojan.PWS.LDPinch | 172 |
Trojan.PWS.Wsgame | 143 |
Win32.HLLM.Wukill | 105 |
Trojan.Spambot | 100 |
Trojan.PWS.Gamania | 97 |
Win32.HLLM.Limar | 50 |
Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего детектируемых на почтовых серверах в октябре 2007 года:
Наименование вируса | % от общего кол-ва вирусов |
---|---|
Win32.HLLM.Netsky.35328 | 23.72 |
Win32.HLLM.Graz | 15.06 |
Win32.HLLM.Beagle | 8.05 |
Win32.HLLM.Netsky | 6.39 |
Win32.HLLM.Netsky.based | 5.82 |
Win32.HLLM.Limar.based | 4.73 |
Win32.HLLM.MyDoom.based | 3.85 |
Win32.HLLP.Sector | 3.19 |
Trojan.DownLoader.35874 | 2.94 |
Win32.HLLM.Perf | 2.47 |
Exploit.MS05-053 | 2.34 |
Win32.HLLM.Oder | 1.89 |
Win32.HLLM.MyDoom.33808 | 1.58 |
Win32.HLLM.Limar | 1.51 |
BackDoor.IRC.Sdbot.1933 | 1.45 |
Win32.LazyAdmin.32768 | 1.39 |
Trojan.Click.4223 | 1.13 |
Win32.HLLM.Netsky.24064 | 0.95 |
Win32.HLLM.MyDoom.49 | 0.80 |
Win32.HLLM.Netsky.41985 | 0.73 |
Прочие вредоносные программы | 10.01 |